让灰鸽子简单绕过杀软
灰鸽子实验
灰鸽子远控软件使用实验
“灰鸽子”是现在网络上非常流行的一种木马,由两部分组成,一是控制端(主程序),一是服务端(也叫受控端)。
任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件,使得用户防不胜防。
灰鸽子客户端和服务端都是采用Delphi编写。
黑客利用客户端程序配置出服务端程序。
可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
“灰鸽子”的服务端是由控制端主程序配置自动生成,黑客在配置自动上线的时候一般会用到ftp自动上线和动态域名解析两种手法,目的是让鸽子以后每天都会自动上线,而不受自身IP改变的影响。
当配置好服务端后,黑客会利用一切可能的手段达到入侵的目的,当用户电脑“中马”后,黑客就会拥有用户电脑的最高管理权限,包括随意修改、窃取用户电脑的文件,监控电脑的键盘和屏幕、摄像头等等。
在主控端生成灰鸽子木马
把灰鸽子生成的服务端拷贝到受控端
对受控端进行一系列的操作对受控端进行监控
屏幕监控
系统信息
文件下载
实验总结
在日常生活中一些不法分子会利用一些邮件、网站的连接放置木病毒,所以在看到一些可疑的连接不要轻易去点击,一旦点击便会中木马病毒。
因此遇到一些不明的连接的情况下,一定要警惕,不要轻易点击陌生的连接。
免杀全教程【请勿用于非法】
木马精华免杀教程教程来自【暗黑网络】暗黑网络技术公会让更多的朋友了解黑客-YY496342本公会采用YY方式是让您更加方便的交流和学习,本公会,免费赠送工具,教程,等一切免费,大量招收导师如果觉得你行那就来试试吧YY496342本公会+此文档只是让大家多一点防范的意识请勿用于非法第一部分:对国内外杀毒软件分析在讲特征码前,先要分析国内外著名杀毒软件的查杀特点。
大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。
瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。
像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.第二部分:木马免杀的对策一.要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则下面的免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能达到内存免杀。
二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.1>.入口点加1免杀法.2>.变化入口地址免杀法3>.加花指令法免杀法4>.加壳或加伪装壳免杀法.5>.打乱壳的头文件免杀法.6>.修改文件特征码免杀法.第三部分:免杀技术实例演示部分一.入口点加1免杀法:(NC)1.用到工具:PEditor2.特点:非常简单实用,但有时还会被卡巴查杀.3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.二.变化入口地址免杀法:(NC)1.用到工具:OllyDbg,PEditor2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.三.加花指令法免杀法:(Sniff)1.用到工具:OllyDbg,PEditor2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.四.加壳或加伪装壳免杀法:(findpass)1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.五.打乱壳的头文件免杀法:(nc)1.用到工具:秘密行动,UPX加壳工具.2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.六.修改文件特征码免杀法:1.用到工具:特征码定位器,OllyDbg2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.第四部分:快速定位与修改瑞星内存特征码一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.第五部分:木马免杀综合方案修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳2>变化入口地址免杀法 2>加生僻壳 2>加壳的伪装.3>加花指令法免杀法 3>打乱壳的头文件4>修改文件特征码免杀法注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.第六部分:免杀方案实例演示部分1.完全免杀方案一:(灰鸽子VIP2.0)内存特征码修改+ 加UPX壳+ 秘密行动工具打乱UPX壳的头文件.2.完全免杀方案二:(findpass)内存特征码修改+ 加压缩壳+ 加壳的伪装3.完全免杀方案三:内存特征码修改+ 修改各种杀毒软件的文件特征码+ 加压缩壳4.完全免杀方案四:内存特征码修改+ 加花指令+ 加压缩壳5.完全变态免杀方案五:内存特征码修改+ 加花指令+ 入口点加1 + 加压缩壳UPX + 打乱壳的头文件还有其它免杀方案可根据第五部分任意组合.暗黑网络YY496342。
电脑病毒灰鸽子传播方式
电脑病毒灰鸽子传播方式传播方式编辑灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。
下面由店铺给你做出详细的电脑病毒灰鸽子传播方式介绍!希望对你有帮助!电脑病毒灰鸽子传播方式:灰鸽子灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
1.网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;2.邮件传播:灰鸽子被捆绑在邮件附件中进行传播;聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
3.非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
清除预防编辑手工检测由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。
此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。
从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。
通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
体积仅70kb隐蔽性更强由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。
进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1.由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。
打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2.打开Windows的“搜索文件”,文件名称输入“*_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
灰鸽子黑防专版使用教程
中国远程控制的佼佼者,黑客手中的得意兵刃,也是令杀毒厂商倍加头疼的首要通缉对象……
这种种造就了众人皆知的灰鸽子
今天,就让我们来研究一下这个厉害的软件
废话少说,现在开始
1.首先打开灰鸽子的主程序,是下图所示
(灰鸽子黑防专版使用教程)
2.点击自动上线,可以看到如下界面,来配置鸽子的上线地址(FTP/3322/花生壳都行)
3.将空间地址密码和自己的IP地址添好后,
更新
4.接下来配置服务端,点击图1的配置服务
端
第一个红圈内填自己刚更新的IP网页路径第二个填自己的密码(连接服务器时要用,
可不填
5.安装项一般可按默认,但自动删除一般需
选,否则被人家发现了,哈哈
(
6.
此项一般可按默认,可根据自己需要设定
7.下面两个最好都勾上,如果要自己作免
杀,就要选不加壳
8.最后点生成服务器就行了,
9.这时你只要将自己生成的木马给别人运
行就可以了,这样他就会上线如下图
如果设了密码就要输入连接密码哦
10.这时有人可能会说,我按你说的怎么没有上线呢,那么可能你是内网,需要断口映
射的
这时你可选择菜单里的内网端口映射
一切按照默认旧可以,点击生成
11.将生成的那个程序给一个在外网的电脑运行(至于用什么办法让他运行就要发挥自
己的聪明才智了)
运行后将这台电脑的IP输入VPortW服务端IP,然后依次点连接,映射就OK拉
12.
这次再将IP更新到网页上去,记住是那台
外网电脑的IP
这下子上线就没问题拉。
灰鸽子使用教程
灰鸽子使用教程灰鸽子使用教程?相对于网络人远程控制软件来说,灰鸽子远程控制软件使用起来非常的麻烦,而且灰鸽子远程控制软件的稳定性也没有网络人好!那灰鸽子使用教程呢?在使用灰鸽子远程控制软件之前我们要准一些工具:1、灰鸽子远程控制软件服务端2、IcoSprite图标更改器;3、SC.exe服务添加删除更改工具;4、winrar制作过程:1、灰鸽子使用教程。
首先自己配置一下灰鸽子远程控制软件服务端,配置时[启动项设置]这里面的都不要填,不要写入注册表,也不要用服务启动。
其他的随你个人爱好。
2、灰鸽子使用教程。
用SC创建一个服务,运行CMD.EXE 并在system32的目录下运行执行SC.exe create huigezi BinPath="%systemroot%\system32\gezi.exe" type=own type= interact start= auto DisplayName= "gezi"这句是用SC建立一个服务,服务名为huigezi,路径Binpath为"%systemroot%\system32。
灰鸽子使用教程。
我建议使用网络人远程控制软件,它结合了灰鸽子远程控制软件和彩虹远程控制软件等多款远程控制软件的优点,它是国内的首款可穿透内网的远程控制软件网络人使用UDP协议穿透内网,不用做端口映射,用户就能在任何一台可以上网的电脑都连接远端电脑,进行远程办公和远程管理。
它是正规合法的软件,取得国内外几十种杀毒软件永久的免杀权。
网络人远程控制软件具备了一对多远程桌面连接,快速上传、下载、修改文件,语音、文字聊天,远程开启摄像头、屏幕墙、视频墙、远程电脑进程管理、完全隐秘监控等等功能,相对于灰鸽子远程控制软件来说这款软件更适合企业管理员工,同时也适合家长教育孩子!灰鸽子使用教程。
相对于灰鸽子远程控制软件,网络人的使用就非常的简单了,它分为主控端和被控端,当安装了软件之后,就注册账号,主控端和被控端都要,然后主控端登录自己的账号,在连接的时候填入被控端的账号和密码就可以了!灰鸽子使用教程就这些了!。
拒绝肉鸡---灰鸽子的发现与清除
拒绝肉鸡之灰鸽子的发现与清除作者:taylor0577前言很多用户都有过被黑客控制的经历.用专业术语说就是你的计算机成了肉鸡.肉鸡又名僵尸机,是被黑客控制的计算机.换言之,黑客如同操作自己的计算机来操作你的计算机.肉鸡的利用价值肉鸡的利用价值很多,在此我随便举几个简单的例子1 通过灰鸽子的键盘记录功能可以完整地记录肉鸡上的键盘操作信息(比如QQ 密码游戏密码网银密码以及其他有用的密码).2 操纵肉鸡进行DDOS SRDOS等拒绝服务攻击.前段时间新网百度等网站瘫痪就是黑客操纵了数十万的肉鸡进行攻击导致的.3 以肉鸡为跳板进行其他非法活动等.控制肉鸡的软件灰鸽子彩虹桥上兴………..今天我们就从第一个远程控制软件开始详细讲解.今天讲解的重点是如何判断是否中了灰鸽子以及如何进行清理.我们的测试平台为不联入互联网的计算机2台分别为windows2000 SP3 和windows XP SP2一般杀毒软件报病毒名称中含有以下名称的均是灰鸽子: Gpigeon huigezi Gray Bird第一节05版的灰鸽子首先我们从05版的灰鸽子开始讲解05版的灰鸽子的主要特点是在hijackthis日志的023项中出现unknown owner 这是已知灰鸽子种类中最容易清除的一种.我们用hijackthis扫一个日志看到图中的红框了吧这个就是灰鸽子我们在前面打上勾点击修复选项即可重启以后删除对应的文件c:\WINNT\winlogon.exe如果有同名的DLL也要删除.以上是最基础的的灰鸽子的查杀根据我们的观察05版灰鸽子还有以下的变化变化一修复后还是有023项变化二023项中出现file missing项这两个变化的处理方式是一样的就是从服务上下手我们以一个服务名称为windows XP server pack2 的灰鸽子为例我们在开始运行输入services.msc 回车找到windows XP server pack2 这个服务双击这个服务出现这个界面我们把启动方式改为已禁用确定其余的做法和上面的一样.至此为05版灰鸽子的手工查杀方法.当然我需要声明一点的是并不是所有的unknown owner 都是灰鸽子,只有是不正常的项(比如)才是灰鸽子第二节06版的灰鸽子随着05版灰鸽子的查杀方法被掌握.06版的灰鸽子进行了改进.这个改进主要是躲避了hijackthis的扫描.因此对于手工的查杀我们不得不采用了另外一种扫描软件.---srengSreng是比hijackthis更为详细的扫描软件第一步运行sreng 点击智能扫描第二步扫描完成以后点击左下角的保存报告第三步打开保存的报告找到服务这一栏里面我们可以看到红框中的就是灰鸽子记下服务名称第四步关闭报告重新打开sreng 选择启动项目再点击服务再点击Win32 应用服务程序第五步勾上隐藏微软服务找到我们刚才记下的服务名称选中(鼠标单击)选中右下角的删除服务点击旁边的设置第六步在对话框中点击否删除服务重启最后一步(收尸)重启后删除灰鸽子的文件C:\winnt\.exe(以及同名(近似名称)的DLL文件) 至此06版的灰鸽子就这么被删除了.第三节非常规的灰鸽子除了05版和06版的灰鸽子以外还有一些衍生出来的非常规的灰鸽子我们以一个无进程无服务的鸽子为例.这个灰鸽子无论你用什么日志扫描软件均不可见异常的项没有服务而且在windows下面显示所有文件也看不到病毒体是一只隐藏非常巧妙的鸽子.但是正是它的隐蔽性导致了清除的方便性我们不用任何工具直接用windows命令来处理开机按F8 进入安全模式第一步开始------- 运行输入cmd 回车输入dir C:\windows回车看图中的红框就是灰鸽子winlogon.exe的正常路径在C:\WINDOWS\system32\winlogon.exe而C:\WINDOWS\ winlogon.exe 就是木马了第二步输入Del C:\WINDOWS\ winlogon.exe回车重启鸽子就被删除了.当然这只鸽子并不难杀,难的是怎么发现它.我们要记住:用dir命令查看文件夹要比windows 图形化查看要全面.至此灰鸽子的发现和清除就讲解到这里.由于灰鸽子也在不断的变化,因此这篇文章也具有一定的时效性.可以肯定的是肯定有本文没有涉及的灰鸽子的种类. 因此本文还需更新.经过慎重考虑我公布我的邮箱地址.你们也可以将日志发往以下邮箱.但我不保证能够及时回复.邮箱地址taylor0577@为了减少肉鸡的数量,让受害者更快地清除病毒,本文可以在各大论坛中转载,但必须保留文章的作者和保持文章的完整性.如报刊、杂志等盈利性组织需要转载必须经过作者本人的同意。
远程控制的攻击与防范
使用远控王控制计算机
1 配置服务端 2 通过服务端程序进行远程 控制
配置服务端
具体的操作步骤如下: 步骤1:下载远控王程序后,双击 图标,即可打开【远控王】对话框,在其中输入帐 号和密码(如果是第一次使用软件,单击【注册用户】按钮,先注册一个用户名 ),如图4-32所示。单击【登录】按钮,即可进入【远控王】操作窗口,如图433所示。 步骤2:单击左下角的【在线主机】选项卡,选择【在线主机】选项卡,如图4-34所 示。单击【配置服务端】按钮,系统自动在与主程序同一目录下生成一个名为 “server.exe”的受控端,如果发现受控端没有生成,原因肯定是杀毒软件没有 正确关闭,请关闭杀毒软件后再重新生成。
视频语音
通过视频语音功能,用户可以与远程计算机进行语音交流,并可将远程计算 机摄像头数据记录成MPEG文件,将远程计算机发送过来的语音记录成WAV文件,如 图4-15所示。此外,灰鸽子远程控制程序还具有一般远程控制程序都具有的 Telnet功能,如图4-16所示。
利用任我行软件进行远程控制
1 配置服务端 2 通过服务端程序进行远程 控制
防范远程控制木马
1 了解木马程序的运行原理 2 防范/查杀木马程序
专家课堂(常见问题与解答) 专家课堂(常见问题与解答)
点拨1 点拨1:为什么在使用QQ发送受控端给对方的时候总是被拒绝? 解答: 解答:因为现在的QQ包括很多邮箱,都是拒绝传送.exe文件的,受控端(包括捆绑后 的)都是.exe的可执行程序,直接通过QQ发送会被QQ拒绝,应该把受控端压缩成 一个压缩包再发送给对方。 点拨2 点拨2:使用远控王时为什么单击【配置服务端】按钮后总生不成受控端,在本机上 总是看不到我的受控端? 解答:出现这种情况,是因为用户的杀毒软件还开着,有很多杀毒软件默认的设置都 解答: 是随电脑启动而自启动的,只要关闭掉杀毒软件一般都可以正常使用远控王,但 是有的杀毒软件不一定是直接用鼠标右键单击,选择【退出】或【关闭】就可以 的,遇到看不到受控端的现象,100% 是因为杀毒软件此时还开着,只是它是在后 台运行的用户看不到罢了。可以到桌面的左下角的【开始】→【程序】里找到杀 毒软件进行设置,让其不要随电脑启动而自动开启监控,如果不会设置,则可以 暂时卸载掉它,用完远控王软件后再安装上去。
巢辉免杀汇编教程
巢辉免杀汇编教程巢辉,广东经济贸易学院07毕业,获得2008年中国红客联盟成员之一,并在2008年在中国电信就职过,其网络技术在各网站获取网络教程发布资格,迅速获得网民的技术支持。
以下汇编参考资料目录:1:2007年简单过01.13卡巴等(文件+内存)免杀2:2007年黑防鸽子过01.16卡巴(定位文件+内存)免杀3:2007年黑防鸽子2006教程过卡巴,瑞星,AVG(文件+内存)4:.2009年巢辉教程:上兴2009免杀金山江民5:2009年巢辉教程:老版灰鸽子简单过金山7.9病毒库6:2009年巢辉教程:巢辉免杀-灰鸽子超级简单过NOD32病毒库7.13 7:巢辉免杀-上兴2009配置文件过卡巴7.23+上线详细教8:巢辉免杀:老版灰鸽子过NOD32瑞星金山江民文章:1:2007年简单过01.13卡巴等(文件+内存)免杀教程名:简单鸽子过01.13卡巴等(文件+内存)免杀大家好!我是菜鸟:巢辉QQ:37776167 有兴趣大家一起研究免杀!我们开始吧先需要的工具有4个1.猛壳svkp1[1].43汉化版2.超级加花器v1.23.花花添加器20064.卡巴主动防御杀手费话少说!开始!生成鸽子端,我用的是黑防我们先文件免杀鸽子先吧先用花花添加器2006 加第一个花!好了再用猛壳,加壳(注意:一定要安是!温馨提示:文件加密成功! 好了!再用超级加花器v1.2加一个花!一定要选第5个哦!nspack V3.7!好可以了!现在卡巴杀不了这个文件哦!再告诉你们!先瑞星,雅虎,AVG的反杀毒软件都过了文件+内存!我的病毒更新到!07-01-13!最新的!有点卡了!过了!试试运行一下。
客户端!看有没有上线!OK开始过卡巴内存!我用的是这个!卡巴主动防御杀手但现在不可以过到卡巴了查文件!但我教你们过卡巴查(文件+内存)卡巴主动防御杀手选择我的鸽子!这随便找一个不能打开的文件就可以了!我找的是雅虎助手!就是这个!打开没东西的!OK!生成了!但过不了!卡巴!我教你们吧!先用!花花添加器2006 跟上面一样!再用猛壳!温馨提示:文件加密成功!再用超级加花器v1.2加一个花!一定要选第5个哦!nspack V3.7!OK!我删除没用的东西吧!文件免杀了!我帮我的黑防主程序放到卡巴信任区!就不怕他杀了!OK!试一下!Ooo搞错了!再来一次!大家记住我搞错了!不要再用!花花添加器了!OK!看看咯!可以了!过了!卡巴!!等卡巴恢复吧!他还未恢复!等等吧!我台机有点慢!看到未没有!过了!我是菜鸟:巢辉QQ:37776167 有兴趣大家一起研究免杀! 8888教程地址:/Soft/html/12/94/2007/200701149429.htm2:2007年黑防鸽子过01.16卡巴(定位文件+内存)免杀教程名:黑防鸽子过01.16卡巴(定位文件+内存)免杀大家好!我是菜鸟:巢辉QQ:37776167 QQ群:35379572修正上次教程的错误!我们开始吧先需要的工具有5个1.超级加花器v1.22.花花添加器20063.卡巴主动防御杀手4.myCCL5.c32ASM6.pec2gui先生成鸽子吧!1。
灰鸽子远程控制软件(精)
灰鸽子的发展简史
模仿期(2001年-2003年) 飞速发展期(2004年-2005年) 全民黑客时代(2006年-2007年)
灰鸽子的发展简史-模仿期
“反弹连接”技术则可以很轻松地刺穿防火墙, 因为防火墙通常对外部连接过滤严密,而对于 本机主动连接则疏于防范。
虚拟驱动,监控摄像头
灰鸽子在“屏幕控制”功能上率先使用了“虚 拟驱动”技术,这项技术可以使“屏幕监控” 更加流畅, 大大提高了控制的准确性。
用软件实现的硬件应该就叫虚拟设备,对应的驱动 程序就叫虚拟设备驱动程序;
“脱壳”指的就是将文件外边的壳去除,恢复文件 没有加壳前的状态。
灰鸽子的具体操作策略
灰鸽子客户端和服务端都是采用Delphi编写。 黑客利用客户端程序配置出服务端程序。可配
置的信息主要包括上线类型(如等待连接还是 主动连接)、主动连接时使用的公网IP(域 名)、连接密码、使用的端口、启动项名称、 服务名称,进程隐藏方式,使用的壳,代理, 图标等等。
通过换“壳”,可以使灰鸽子免于被杀;
补充:关于“壳”
在一些计算机软件里也有一段专门负责保护软 件不被非法修改或反编译的壳。它们一般都是 先于程序运行,拿到控制权,然后做保护软件 的工作。
从“壳”又延伸出“加壳”和“脱壳”两个词 汇;
“加壳”指的是对编译好的EXE、DLL等文件采用 加壳来进行保护;
进程插入,让进程蒸发
“灰鸽子”在配置服务端的时候可以选择插入 “explorer.exe”或者“iexplore.exe ”进程;
中了灰鸽子怎么解决
中了灰鸽子怎么解决电脑中了灰鸽子病毒,首先不要惊慌,解决办法是有的,店铺来告诉你,下面由店铺给你做出详细的灰鸽子病毒解决方法介绍!希望对你有帮助!灰鸽子病毒解决方法:灰鸽子病毒解决步骤1、请下载汉化版hijackthis备用,下载汉化版killbox备用,删除文件利器HijackThis v1.99.1 首页绑架克星它能够将绑架您浏览器的程序揪出来!并且移除之!或许您只是浏览某个网站、安装了某个软件,就发现浏览器设定已经被绑架了,一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定,现在有了这个工具,可以将所有可疑的程序全抓出来,进行分析。
本来它只能看看浏览器绑架的问题,在众多网友的实践中发现它还能够分析的出灰鸽子的大致位置和服务项。
灰鸽子病毒解决步骤2、直接运行hijackthis.exea、选以上都不是,只是进入启动程序(进入主界面)b、然后点左下角的扫描c、再扫描出来的界面中直接查找023项目,就是服务项,如果发现有这样的023项目,那么恭喜你了,中了灰鸽子灰鸽子病毒如:O23 - NT 服务: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exeO23 - NT 服务: Generic_Save_Server (Fast Double) - Unknown owner - C:\WINDOWS\Generic Hoster.exeO23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\1.exeO23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exeO23 - Service: Gray_Pigeon_Server (GrayPigeonServer) -Unknown owner - C:\WINDOWS\G_Server.exe等等,共同特点是在023项,Gray_Pigeon_Server+Unknown owner +C:\WINDOWS(就是直接安装在系统盘/win下面) 下面俺来谈谈借助绿色工具,汉化版hijackthis和汉化版killbox来谈谈手工清楚灰鸽子的经历,下面手工查杀过程.灰鸽子病毒解决步骤实战一:O23 - NT 服务: RpcSo (Remote Procedure Call (RPC)) - Unknown owner - C:\WINDOWS\RpcSs.exe根据楼主的描叙(帖主的瑞星报告灰鸽子病毒感染文件C:\WINDOWS\RpcSs.exe,这是俺第一次实战查杀灰鸽子的经历,所有映像特别深)),这是灰鸽子的项,删除下面的文件后,用hiujackthis修复下载汉化版killbox(删除文件利器)填入完整路径删除下面文件,不放心到安全模式下删除,(xp建议关闭系统还原,其他包括xp清理所有临时文件)如果有的话让killbox帮楼主强行删除。